2026년 6월 다크웹 위협 행위자 동향 보고서

2026년 6월 다크웹 위협 행위자 동향 보고서

알림


2026년 6월 다크웹 위협 행위자 동향 보고서는 핵티비스트를 포함해 딥웹 및 다크웹에서 활동하는 위협 행위자의 동향을 중심으로 작성되었다. 일부 내용은 사실 관계를 확인할 수 없다고 명시되었다.

주요 이슈


  • 말레이시아에서는 지역 개발기관 및 보건 분야 공공 웹사이트를 대상으로 한 연쇄 변조·침해 사례가 확인되었다. 또한 같은 지역에서 중국 연계 APT 그룹으로 알려진 위협 행위자의 정부기관 대상 문서형 공격 정황도 관측되었다.
  • 친러 성향 핵티비스트 그룹은 유럽 지역 공공기관을 대상으로 DDoS 공격을 수행했다고 주장했다. DDoS 공격은 다수의 요청을 집중시켜 서비스 이용을 방해하는 방식이다.
  • 일본에서는 통신 서비스 기업의 이메일 시스템에 대한 무단 접근과 정보 유출 사고가 확인되었다. 또한 취업·채용 플랫폼과 제조업 분야의 온라인 서비스에서 크리덴셜 스터핑(유출된 계정정보를 대입하는 공격) 관련 침해 사례도 발생했다.
  • 유럽의 유통·전자상거래 기업에서는 고객 계정정보 노출 가능성이 제기되었으며, 북아프리카 지역의 중앙은행은 사이버 공격 대응 사실을 공개하면서 고객 계정에는 영향이 없었다고 밝혔다. 또한 예측시장 플랫폼을 대상으로 제3자 침해를 통한 자금 탈취 사고도 발생했다.
  • ShinyHunters는 운영 중이던 클리어넷 도메인의 사용 중단을 예고했으며, 활동 거점을 다크웹 중심으로 전환하려는 움직임이 언급되었다.
  • 북한 연계 위협 행위자는 AI 프레임워크 관련 오픈소스 패키지 저장소를 대상으로 한 공급망 공격의 배후로 지목되었다.
  • 한 랜섬웨어 서비스형(RaaS) 그룹의 EDR 우회·무력화 도구 세트 분석이 공개되었으며, 해당 그룹은 유럽 지역의 방산·항공우주 분야를 포함한 다양한 기업을 지속적으로 공격한 것으로 언급되었다.
  • 위협 행위자와 웹 인젝트(Web Inject) 프레임워크 간 연계 정황이 확인되었다. 해당 프레임워크는 가짜 브라우저 업데이트를 활용한 초기 접근 기법과 관련된 것으로 분석되었다.
  • 중동 지역 국가 지원 해킹 조직으로 알려진 위협 행위자 그룹의 주요 운영자 사망 사실이 처음으로 공식 확인되었다. 다만 조직은 지휘부 공백 이후에도 활동을 지속한 것으로 평가되었다.
  • 신규 랜섬웨어 위협 행위자가 등장했으며, 과거 활동 중단을 선언한 랜섬웨어 그룹의 리브랜딩 조직일 가능성이 제기되었다. 또한 Python 기반 정보탈취형 악성코드가 사이버 범죄 포럼을 통해 홍보되는 정황도 확인되었다.
  • 미국에서는 한 사이버 보안 기업의 내부 정보가 랜섬웨어 그룹에 전달되었다는 내부자 연계 의혹이 제기되었다.
  • 법 집행 측면에서는 유럽 지역을 중심으로 랜섬웨어, SIM 스와핑, 암호화폐 탈취, 개인정보 유출 등 사이버 범죄에 연루된 다수의 위협 행위자가 체포되거나 기소된 것으로 확인되었다.

결론


2026년 6월에는 말레이시아를 중심으로 한 핵티비스트의 웹사이트 변조와 해킹, 일본의 계정 기반 침해, Polymarket과 같은 글로벌 플랫폼에 대한 자금 탈취, Sapphire Sleet의 Mastra npm 공급망 침해 지목이 주요 흐름으로 나타났다. 동시에 Scattered Spider 관련 유죄 판결, SIM 스와핑 조직 체포, AudiA6 기소, 스페인 doxer 체포 등 법 집행 성과도 이어졌으며, 공급망 보안 점검과 크리덴셜 스터핑 방어, 정부 웹사이트 변조 탐지 대응 체계 강화의 필요성이 강조되었다.